微软安全风险管理指南

微软安全风险管理指南

VI.0

深圳大成天下信息技术有限公司

ShenZhenUnnooInformationTech.,Inc.

二OO五年一月

编号：

时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第2页共123页

文档信息

文档名称微软安全风险管理指南

保密级别文档版本编号VI.0

制作人制作日期

复审人复审日期

适用范围本文件是从微软网页上摘录成doc,方便读者阅读。

分发控制

编号读者文档权限与文档的主要关系

1大成科技项目组创建、修改、读取项目组成员，负责编制、修改、审核本文件

2王娟批准项目的负责人，负责本文档的批准程序

3吴鲁加标准化审核项目标准化负责人，对文档进行标准化审核

版本控制

时间版本说明修改人

VI.0文档创建

原文档参见：

hilp:〃www./china/lechnel/$ecurily/guidance/$ecrisk/defaull.mspx

第2页共123页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第3页共123页

1.概述

客户在尝试实施安全风险管理计划时，可能会觉得不知所措。原因可能在

于他们没有自己的内部专家、没有预算资源或没有使用外部资源的指南。为了

帮助这些客户，Microsoft编写了《安全风险管理指南》。

本指南帮助各种类型的客户计划、建立和维护一个成功的安全风险管理计划。

本指南说明如何在四阶段流程(在下文中描述)中实施风险管理计划中的各个阶

段，以及如何建立一个持续的过程以评定安全风险并将其降低到可接受水平。

本指南不考虑技术因素，并参考了许多关于安全风险管理的行业认可标准。

它是Microsoft承诺提供高质量指南以帮助客户保护其信息技术(IT)基础结

构之安全的一个重要示例。本指南结合了来自MicrosoftTT的实际经验，也

包括了由Microsoft客户及合作伙伴所提供的资料。

本指南由安全权威专家组开发、审核并批准。本指南和其他安全指导主题

可在www.m/china/technet/securi.ty/guidance上的Security

GuidanceCenter中找到。有关本指南的反馈或问题，请发邮件到

secwish@inicrosoft.com0

本指南包括六章和四个附录。

第3页共123页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第4页共123页

2.安全风险管理指南介绍

2・1.摘要

2.1.1.环境挑战

大多数组织都认识到信息技术(IT)在支持其业务目标中扮演的关键角色。

但如今高度连接的1T基础结构存在于一个敌对唾不断增加的环境中-攻击的

频率越来越高，而要求的反应时间越来越短。逅常，组织不能够在其业务受到

影响之前对新的安全威胁采取应对措施。管理基础结构的安全性，以及这些基

础结构提供的业务价值，已经成为1T部门的首要关注事项。

此外，因隐私、财政责任和公司管理而制定的法律强制要求组织比过去更加

严密且有效地管理他们的IT基础结构。很多政府机构和与这些机构没有联系

的组织被法律强制要求至少维持一种最低程度的安全监督。未能前瞻性地管理

安全可能因为违背信托和法律责任而将管理层和整个组织置于风险之中。

2.1.2.一种较好的方法

Microsoft的安全风险管理方法提供了一种前瞻性的方法，可帮助各种规模

的组织响应他们所在的环境以及法律挑战提出的要求。正式的风险管理流程让

企业能够以最具有成本效益的方式运行，并且使已知的业务风险维持在可接受的

水平。它还使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确

定优先级，更好地管理风险c在您采用适当的、具有成本效益的控制措施将风

险降低到可接受水平时，您将认识到使用安全风险管理的好处。

可接受风险的定义以及管理风险的方法，因各个组织而异。没有正确或错

误的答案，目前有许多风险管理模型在使用之中。每个模型均具有平衡准确性、

资源、时间、复杂性和主观性的平衡点。投资于具有固定框架和明确角色和职

贵的风险管理流程，使组织可以确定优先级，规划以缓解威胁，以及解决业务面

第4页共123页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第5页共123页

临的下一个威胁或漏洞。此外，有效的风险管理计划将帮助公司在满足新的法

律要求方面举得明显的进步。

2.1.3.Microsoft在安全风险管理中的角色

这是Microsoft出版的第一部完全集中论述安全风险管理的说明性指南。

以Microsoft自己及其客户的经验为基础，本指南在制定过程中经过客户、合

作伙伴、技术审核者的测试与审核。其目的是对如何实施安全风险管理流程提

供一个明确的可操作指南。这样做有很多好处，其中包括：

•使客户采取前瞻性安全方法，从被动的令人灰心丧气的流程中解放出来。

•通过显示安全项目的价值来衡量安全。

•帮助客户有效地缓解环境中的最主要的风险而不是将保贵的资源用于解决所有可能的风

险。

2・1.4.指南概述

本指南采用行业标准，在一个循环的四阶段流程中提供已建立的风险管理模

型的混合体，从而在成本和效益之间寻求平衡。在风险评估流程中，定性步骤

迅速地确定最重要的风险。一个以详细定义的优色和职责为基础的量化流程。

本方法非常详细，并得出对最重要风险的充分了解。风险评估流程中的定性和

定量步骤共同提供一个基础，让您可以按照智能业务流程做出关于风险和缓解措

施的可靠决策。

注：如果本摘要中讨论的某些概念对您而言是新概念，请不要担心；后续章

节中将有详细说明。例如，第2章“安全风险管理实践调查”说明风险评估的定

性方法与定量方法之间的区别。

Microsoft安全风险管理流程使组织可以实施和维护确定IT环境中的风

险并确定优先级的流程。使客户从被动关注转向前瞻性关注，从根本上改善客

户环境的安全。反过来，改善的安全有助于提高TT基础结构的可用性，有助

于增加业务价值。

第5页共123页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第6页共123页

Microsoft安全风险管理流程将各种方法综合起来，包括纯粹的定量分析、

安全投资收益(R0SI)分析、定性分析和最佳做法。请注意，本指南讲述流程，

没有具体的技术要求。

2.1・5,成功的关键因素

在整个组织内成功实施安全风险管理计划有缎多重要的成功因素。这些因

素中有一部分尤其至关重要，并将在此处介绍；另外一些在本章“成功的关键”一

节中讨论。

首先，如果没有管理层的支持与承诺，安全风险管理必将失败。当从最高

层开始实行安全风险管理时，组织可以根据对企业的价值来确定安全。其次，

角色和职责的明确定义是成功的基石。企业所有者负责确定风险的影响。他们

也处在确定发挥其功能所必须的资产的业务价值的最佳位置。信息安全组负责

通过考虑当前实施的提议的控制措施确定风险发生的可能性。当利用可能性表

示风险不可接受时，信息技术组负责实施安全筹划指导委员会选择的控制措施。

2.1.6.后续步骤

投资于具有可实现的固定流程以及明确角色和职责的风险管理计划，使组织

可以确定优先级，规划以缓解威胁，以及解决至关重要的业务威胁或漏洞。使

用本指南来评估您是否准备好并提升您的安全风险管理能力。如果您需要更多

帮助，请联系Microsoft客户服务部或Microsoft服务合作伙伴。

2.2.本指南的目标读者

本指南主要面向负责进行跨平台规划应用或基础结构开发与部署的顾问、安

全专家、系统设计师和IT专业人士。这些角色包括负责以下工作的人：

•负责推动组织的体系结构工作的设计和规划人员

专门在组织内提供跨平台安全性的信息安全组成员

第6页共123页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第7页共123页

负责确保组织采取了适当的预防措施来保护其重要企业资产的安全和IT

审核者

•具有关键业务目标和需求，需要IT的高级管理人员、业务分析人员和业

务决策者（BDM）

•需要企业客户和合作伙伴的知识传送工具的顾问和合作伙伴

2.3.指南的适用范围

本指南专注于如何在各种规模和类型的组织中规划、建立和维护一个成功的

安全风险管理流程。资料解释如何进行风险管理计划的各个阶段，以及如何将

项目转换为一个持续流程，推动组织实施符合成本效益的最有效控制措施来缓解

安全风险。

2・3・1.内容概述

《安全风险管理指南》包含六章，以下进行简要介绍。每章介绍在组织中

有效启动和运行一个持续安全风险管理流程所需的循环实践方法。在这些章节

之后是有助于组织安全风险管理计划的附录与工具。

.第1章：安全风险管理指南介绍

此章介绍本指南并简短地概述后续各章。

,第2章：安全风险管理实践调查

通过审核组织过去进行安全风险管理的方法为Microsoft安全风险管理流

程奠定一个基础非常重要。已经精通安全风险管理的读者可能希望快速浏览本

章；鼓励对安全或风险管理相对不熟悉的其他人精读本章。此章一开始回顾风

险管理的前瞻性方法和反应性方法的优点与缺点，然后详细回顾第1章“安全

风险管理指南介绍”，介绍有组织的风险管理的完善程度。最后，此章评估和比

较两个传统方法：定性风险管理和定量风险管理。此流程是一种在这些方法之

第7页共123页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第8页共123页

间提供平衡的备选方法，经证明，Microsoft采用该流程获得了一个极为有效的

流程。

.第3章：安全风险管理概述

此章更详细地介绍了Microsoft安全风险管理流程，并介绍了一些重要概

念及成功关键。此章逐提供了有关如何通过使用有效的规划并建立具有清晰定

义的角色和职责的强大安全风险管理小组准备流程的建议。

,第4章：评估风险

此章详细介绍Microsoft安全风险管理流程的评估风险阶段。此阶段中的

步骤包括规划、加速数据收集和确定风险优先级。风险评估流程包含多个任务，

其中某些任务对大组织而言很苛求。例如，识别和确定企业资产的价值需要很

多时间。确定威胁和漏洞等其他任务需要大量的技术专家。与这些任务相关的

挑战说明了正确规划和建立坚实的安全风险管理小组的重要性，如第3章“安全

风险管理概述”所强调的。

在确定汇总风险优先级期间，安全风险管理小组使用一种定性方法来类选安

全风险的完整列表，从而使小组可以快速确定最重要的风险以进行进一步的分析。

然后用定量技术来详细分析顶级风险。结果是一份最重要风险的简短列表，具

有详细的资料，小组可在流程的下一阶段中用这些资料来做出明智的决策。

.第5章:实施决策支持

在流程的实施决策支持阶段期间，安全风险管理小组确定如何以最有效最经

济的方式解决关键风险。小组确定控制措施，确定与购买、实施和支持各个控

制措施有关的成本，评估各个控制措施实现的风险降低程度，配合安全筹划指导

委员会确定要实施的控制措施。最终结果是一个清晰且可操作的计划，控制或

接受在评估风险阶段确定的顶级风险。

第8页共123页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第9页共123页

.第6章：实施控制和评定计划有效性

此章解释Microsoft安全风险管理流程的最后两个阶段：实施控制和评定

计划有效性。顾名思义,在“实施控制”阶段中：缓解方案所有者根据在决策支

持流程中产生的控制解决方案列表制定并执行计划，以降低在评估风险阶段中确

定的风险。此章提供了说明性指导的链接，在组织的缓解方案所有者解决各种

风险时可能有所帮助。评定计划有效性阶段是一个持续进行的流程，在这个阶

段中，安全风险管理小组定期验证在之前阶段中实施的控制确实提供了预期程度

的保护。

此阶段的另一个步骤是预测组织在安全风险管理方面的整体进度。本章介

绍了“安全风险记分卡”的概念，可用它来追踪组织的实施状况。最后，本章还

解释了观察计算环境变化的重要性，如系统和应用程序的添加和删除，或者新威

胁和漏洞的出现。三种类型的变化可能要求组织立即采取行动以针对新的或改

变的风险对自身提供保护。

,附录A：特别风险评估

此附录将正式的企业风险评估流程与很多组织采用的特别方法进行比较。

它突出各个方法的优点和缺点，并建议在什么情况下使用什么方法。

.附录B：常见信息系统资产

此附录列出各种类型的组织中常见的信息系统资产。它并不追求全面唾，

也不会列出在一个组织的独特环境中所具备的全部资产。因此，在风险评估流

程中定制此列表非常重要。它作为参考列表和开始点提供，以帮助贵组织着手

进行。

.附录C：常见威胁

本附录列出了可能影响许多组织的威胁。此列表并不全面，而且因为它是

静态的，所以并不是最新的°因此,在项目的评估阶段需要删除与贵组织不相

第9页共123页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第1。页共123页

关的威胁并添加新确定的威胁，这点很重要。它作为参考列表和开始点提供，

以帮助贵组织着手进行。

0.附录D：漏洞

本附录列出了可能影响许多组织的漏洞。此列表并不全面，而且因为它是

静态的，所以并不是最新的。因此，在风险评估阶段需要删除与贵组织不相关

的漏洞并添加新确定的漏洞，这点很重要。它作为参考列表和开始点提供，以

帮助贵组织着手进行。

232.工具和模板

本指南随附了一组工具和模板，帮助组织实施Microsoft安全风险管理流

程。这些工具和模板包含在一个可在下载中心获得的自解压WinZip压缩文件

中。注意，该压缩文件也包含本指南的副本。当从下载的压缩文件抽取文件时，

将在您指定的位置创建以下文件夹结构：

•'安全风险管理指南-包含本指南的PortableDocumentFormat(PDF)

文件版本。

•'安全风险管理指南,工具和模板-包含以下文件：

数据收集模板(SRMGTool1-DataGatheringTool,doc)0可在第4章

“评估风险”所述的环讨会期间在评估风险阶段使用此模板。

汇总级风险分析工作表(SRMGToo12-SuinmaryRiskLevel,xls)0此

Microsoft@Excel工作表帮助组织进行风险分析的第一阶段：汇总级分析。

•详细级风险分析工作表(SRMGTool3-DetailedLevelRisk

Prioritization,xls)o此Excel工作表帮助组织对在汇总级分析中确定

的顶级风险进行更加详细的分析。

日程安排示例(SRMGTool4-SampleProjectSchedule,xls)°此Excel

工作表显示一个针对Microsoft安全风险管理流程的高级项目日程安排。

它包含本指南讨论的阶段、步骤和任务。

第10页共123页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第11页共123页

2.4.成功的关键

无论何时一个组织实施重大的新变革时，只有具备各种基础性的要素才能获

得成功。Microsoft己经确定出在成功实施安全风险管理流程时必须具备的组

成要素以及在开始实施后必须继续存在的组成要素。它们是：

•管理层的资助。

•一份详细的风险管理风险承担者列

表。

•在风险管理方面的组织完善程度。

•开放式交流的氛围。

•团队精神。

•对组织的全盘考虑。

•安全风险管理小组授权。

以下几节讨论整个安全风险管理流程所需的这些要素；其他只与具体阶段有

关的要素在讨论这些阶段的章节中突出介绍。

2.4.1.上级主管

高级管理层必须明确且热情地支持安全风险管理流程。没有这种支持关系，

风险承担者可能会抵触或破坏使用风险管理以使组织更加安全的努力。此外，

没有明确的管理层支持，单个雇员可能会不理睬如何执行工作或帮助保护组织资

产的指示。雇员不合作可能有很多原因。其中之一是对改变的一般性抵触；缺

乏对有效安全风险管理的重要性的正确评价；错误地认为他们作为个体对如何保

护业务资产有着充分的了解，即使他们的观点在范围和尝试上可能与安全风卷管

理小组不一致；或相信他们所在的组织部分绝不会成为潜在攻击者的目标。

支持意味着：

第11页共123页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第12页共123页

•委托安全风险管理小组在明确定义的项目范围内行使权力，履行

职责

•支持所有员工根据需要参与

•分配有限的资源，例如人力与财政资源

•明确且积极支持安全风险管理流程

•参与审核安全风险管理流程的发现以及建议

2.4.2.一份详细的风险管理风险承担者列表

本指南经常用到次舲液挣者，该术语在本文中指与安全风险管理流程的结果

有利害关系的组织成员。安全风险管理小组需要知道所有风险承担者，包括核

心小组自身以及上级主管。还包括拥有要评估的企业资产的所有者。负责设计、

部署和管理企业资产的1T人员也是关键的风险承担者。

必须确定风险承担者以便他们可以参与安全风险管理流程。安全风险管理

小组必须用一些时间来帮助这些人了解流程以及流程如何帮助他们保护其资产

并从长期来看节约他们的资金。

2.4.3.在风险管理方面的组织完善程度

如果一个组织当前没有实施安全风险管理流程，Microsoft案例风险管理流

程可能涉及太多的改变以便完全实施其内容，所有的均是一次性完成。即使一

个组织已经具有了一些正式的流程，例如针对具体安全事务而启动的特别措施,

流程也可能是相当复杂的。但是，就风险管理而言，在更加完善的组织中会非

常有效；通过风险管理以及明确的安全流程、在组织的很多层面充分了解和接受

安全风险管理来证明完善程度。第3章“安全风险管理概述”讨论安全风险管理

完善程度的概念以及如何计算组织的完美程度。

第12页共123页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第13页共123页

2.4.4.开放式交流的氛围

很多组织和项目纯粹是在需要知道的基础上运作，从而经常导致误解并影响

小组提供成功解决方案的能力。Microsoft安全风险管理流程需要在小组内以

及小组与关键风险承担者之间进行的一种开放且诚实的交流方法。毫无障碍的

交流不仅仅减少误解及浪费工作的风险，还确保所有小组成员能够帮助减少围绕

项目的不确定性。开放且诚实地讨论确定的风险以及什么控制措施可有效缓解

这些风险是流程举得成功的关键。

2.4・5.团队精神

参与Microsoft安全风险管理流程的所有人员之间的关系的强度和活力对

工作成效有重要的影响。不管来自高级管理层的支持，在安全人员和管理层以

及组织的其余部分之间建立的关系以流程的整体成功也至关重要。安全风险管

理小组与来自不同业务单元的代表建立团队精神，并在整个项目中应用团队精神

进行合作，这一点极其重要。小组可通过向来自这些业务单元的经理有效演示

安全风险管理的业务价值，以及通过向成员说明长期运行项目时如何使他们更加

轻松且有效地开展他们的工作，从而推动团队精神的建设。

2.4.6.对组织的全盘考虑

Microsoft安全风险管理流程的所有参与者，特别是安全风险管理小组，需

要在其工作中考虑整个组织。对一名具体雇员而言是最好的往往少#对整个组

织而言是最好的。同样的，对一个业务单元最有利益的可能并不是对整个组织

也最有利益。来自具体业务单元的员工和经理将本能地努力推动有利于他为以

及他们所在的组织部分的流程获得成功。

第13页共123页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第14页共123页

2.4.7.整个流程中的权力

Microsoft安全风险管理流程的参与者承担确定和控制组织面临的最重要

的安全风险。为了通过实施合理的控制措施有效缓解这些风险，他们也需要足

够的权力来进行适当的改变.小组成员必须获得与委派给自己的使命相一致的

权力。授权要求小组成员获得开展工作所必须的资源，负责做出影响工作的决

策，了解他们的权力限制以及用于处理超出这些限制的事务的上报途径。

2.5.术语和定义

与安全风险管理有关的术语有时非常难以理解。有时候，对于一个轻松认

可的术语，不同的人有不同的解释。出于这些原因，您理解本指南的作者在本

指南中使用的重要术语的定义非常重要。以下提供的很多定义来自两个组织发

布的文档：国际标准化组织(ISO)和Internet工程任务组(IETF)。这些组

织的网址在本章后面的“更多信息”一节中提供。下表提供安全风险管理的主要

组成部分的一致见解：

•年预期损失(ALE)—组织在未采取减轻风险的措施的情况下一年损失

的总金额。

•年发生率(AR0)一估计风险在一年内可能发生的次数。

•资产一对组织有价值的任何东西，例如硬件和软件、数据、人员和文档。

•可用性一确保授权的系统用户在需要时可访问并使用的系统或系统资

源的属性。可用性是安全系统的核心特性之一。

•CIA—请参阅“机密性(Confidentiality)”、“完整性(Integrity)”和“可

用性(Availability)"©

•机密性一信息不适用于或不透露给未经授权的个人、实体或流程的属性

(ISO7498-2)o

•控制一管理风险的一种有组织有步骤或技术性的措施；是安全措施鼓对

.燹的同义词。

第14页共123页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第15页共123页

•成本效益分析一相对价值与各个提议的控制措施的成本之间的估计与

比较，从而实施最有效的控制措施。

•决策支持一根据成本效益分析确定风险优先级。将缓解风险的安全解

决方案之成本与缓解风险而取得的业务好处进行比较。

•纵深防御一采取多层安全措施预防单一女全措施失败的方法。

•利用一使用漏洞以便危害业务活动或信息安全的手段。

•暴露一一种威胁行动，借此行动，敏感性数据直接暴露给未经授权的实

体(RFC2828)。Microsoft安全风险管理流程将此定义收窄到专注于对企业

资产的损坏程度。

•影响一当威胁利用漏洞损坏资产时预计的整体业务损失.

•完整性一数据未通过未经授权的方式被修改或破坏的属性(ISO

7498-2)o

•缓解一通过采取专为应对潜在威胁而设计的措施来解决风险。

•缓解方案一控制措施的实施，是用来管理安全风险的有组织、有步骤或

技术性的控制措施。

•可能性一事件发生的概率。

•定性风险管理一一种风险管理方法，在咳方法中参与者向资产、风险、

控制措施和影响分配一个相对价值。

・定量风险管理一一种风险管理方法，在该方法中参与者尝试向资产、风

险、控制措施和影响分配一个主观性的数字价值(例如货币值)。

•名誉一人们对一个组织的评价；大多数纽织的名誉都有实际价值，即使

是无形的并且难以计算。

•安全投资收益(R0SI)一组织在实施安全控制措施后一年内预期节约的

总金额。

风险一事件的可能性及其后果的组合。(ISOGuide73)o

风险评估一确定风险及其影响的流程。

第15页共123页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第16页共123页

风险管理一确定可接受的风险、评估风险的当前程度、采取措施将风险

降低到可接受水平以及维持风险程度的流程。

单一预期损失(SLE)—发生一次风险引起的收入损失总额。

威胁一系统或组织面临的不希望有的影响的原因。(ISO13335-1)o

漏洞一使信息资产易受威胁利用的任何弱点、管理流程、措施或物理暴

26样式约定

本指南使用下列样式约定和术语。

表1.1：样式约定

元素含义

注意提醒读者阅读补充信息。

Woodgrove示例提醒读者内容写•个假想示例公司''Woodgrove银行”有关。

2.7.获取有关本指南的支持

本指南竭力清晰地描述一个组织可遵循以实施和维护安全风险管理计划的

流程。如果在实施风险管理计划时需要帮助，请联系Microsoft客户服务人员。

未提供有关本指南的电话支持。

关于本指南的反馈或问题,请发邮件到：secwish@。

2.8.更多信息

以下信息来源是在本指南发布时与安全风险管理紧密相关的最新主题内容。

Microsoft操作框架(MicrosoftOperationsFramework,MOF)提供技术

指南，该指南使组织在使用Microsoft产品和技术构建的IT解决方案中获得

重要的系统可靠性、可用性、可支持性和可管理性。MOF以白皮书、操作指南、

评估工具、最佳实践方法、案例研究、模板、支持工具和服务等形式提供可操作

第16页共123页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第17页共123页

的指导。该指导解决了与不同种类的复杂分布式IT环境有关的人员、过程、

技术和管理问题。有关M0F的详细信息，请参见www.microsoft.com/mof。

Microsoft解决方案框架（MSF）可帮您成功地实施作为Microsoft安全

风险管理流程的一部分制定的操作计划。MSF旨在帮助组织按时提交高质量技

术解决方案并符合预算，是一个适合技术项目的洋细且严格的方法，并基于

Microsoft提供的一组明确的原则、模型、准则、概念、指导以及经证实的做法。

有关MSF的详细信息，请参见www.Microsoft,com/nisf。

Microsoft安全指南中心（SGC）,是一个介绍各种安全主题的详尽且组织

良好的文档库。SGC位于

www.microsoft.com/security/guidance/default.mspx。

MicrosoftWindows2000Server安全解决方案走一，分描述性解决方案，旨

在帮助减少MicrosoftWindows@2000环境中的漏洞并降低暴露和安全管理的

成本oMicrosoftWindows2000ServerSolutionforSecurity（Windows2000

Server安全解决方案.）指南的第2、3、4章包含Microsoft发布的第一个安

全风险管理指南，称为安全风险管理规则（SecurityRiskManagement

Discipline,SRMD）o您正阅读的指南替代MicrosoftWindows2000Server

SolutionforSecurity（Windows2000Server安全解决方案.）指南中安全风

险管理内容。位于http:〃go.microsoft.com/

fwlink/?LinkId=14837。

美国国家标准与技术协会（NTST）提供了一个有关风险管理的优秀指青，标

题为RiskManagementGuideforInformationTechnologySystems（信息技

术系统风险管理指南，2002年7月发布）。位于

http:〃esre.nist.gov/publications/nistpubs/800-30/

sp800-30.pdf°

NIST也提供了一个有关对组织进行安全评估的指南，标题为Secun

Seif-AssessmentGuideforInformationTechnologySystems（信息技术系统

安全自我评估指南，2001年11月发布）。位于

第17页共123页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第18页共123页

http:〃csrc.nist.Nov/publications/nistpubs/800-26/

sp800-26.pdf。

ISO提供了一个高级实施细则，称为Informationtechnology—Codeof

practiceforinformationsecuritymanagement(信息技术-信息安全管理

实施细则)，也称为ISO17799。位于

www.iso.crg/iso/en/CatalogueDetaiIPage.CatalcgueDetail?

CSNLMBER=33441&ICS1:35&ICS2=40&ICS3二(获取资料需付费)。

ISO已经出版了各种各样的其他标准文件，本指南也引用了其中部分标准。

这些标准文件均可在WWW.iso.org付费获得。

位于卡内基美隆大学软件工程学院的计算机紧急事件响应组(CERT)已经

开发出OCTAVE®(操蚱性关系威胁、资产和漏洞评估，，一种自我指导的风

险评估与规划技术。有关OCTAVE的详细信息，请浏览www.cert,org/octave。

信息控制目标和相关技术(ControlObjectivesforInformationand

RelatedTechnology,CobiT)为良好的IT安全和控制措施提供一般性的可应

用并被接受的标准，向管理层、用户、信息安全审核、控制和安全从业人员提供

一种参考框架。可付费在线从ITGovernanceInstitute获得，网址为

http:〃www.isaca.org/cobit。

IETF已经发布了RequestforComments(RFC)2828,它是一个向公众开

放的备忘录，为大量的信息系统安全术语提供标唯定义。位于

www.faqs.org/rfcs/rfc2828.html。

3.安全风险管理实践调查

本章一开始回顾安全风险管理的前瞻性方法和反应性方法的优点与缺点，

接着评估和比较两个传统方法：定性安全风险管浬和定量安全风险管理。

Microsoft安全风险管理流程是一种在这些方法之间提供平衡的备选方法，经证

明，Microsoft采用该流程获得了一个极为有效的流程。

第18页共123页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第19页共123页

注：通过审核组织过去进行安全风险管理的方法为Microsoft安全风险管

理流程奠定一个基础非常重要。已经精通安全风险管理的读者可能希望快速浏

览本章；鼓励对安全或风险管理相对不熟悉的其他人精读本章。

3・1.比较风险管理的方法

很多组织都被通过响应一个相对较小的安全事件引入安全风险管理。例如,

一名员工的计算机感染了病毒，担任办公室经理的内部电脑专家必须指出如何根

除病毒而不破坏计算机或计算机存储的数据。无论最初的事件是什么，随着越

来越多与安全有关的问题出现并开始影响业务，很多组织对响应一个接一个的危

机感到灰心丧气。他为需要一个这种反应性方法的替代方法，一种寻求减少第

一次发生安全事件可能性的方法。有效管理风险的组织发展了更有前瞻性的方

法，但是随着您对本章的学习，此方法只是解决方案的一部分。

3.1.1.反应性方法

现在，很多信息技术(IT)专业人员对在尽量方便用户的情况下迅速完成他

们的任务倍感压力。当一个安全事件发生时，很多IT专业人员感到唯一有时

间做的事情是遏制情形，指出发生了什么事情，并尽可能快地修复受影响的系统。

有些会试图确定根本原因，但是对于那些在极端资源限制条件下的人而言，这似

乎是一种奢望。尽管反应性方法可以是一种对已经被利用并转换为安全事件的

安全风险的有效技术响应，使反应性方法具有一定程度的严密性可帮助所有类型

的组织更好地利用他们的资源。

最近的安全事件可帮助组织预测将来的问题并做好准备工作。这意味着如

果组织以一种平静且理性的方式来响应安全事件，并且确定允许事件发生的根本

原因，则能够更好地保护组织在将来不受类似问题的伤害，并且能更快地响应可

能出现的其他问题。

深入检查事件响应超出了本指南的范围，响应安全事件时遵循六个步骤可帮

助您快速而有效地进行管理:

第19页共123页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第20页共123页

1.保护人身安全.总是应该首先保证这一点。例如，如果受影响的计算机包括生命支持系统，关闭计算机可

能并不是一种选择；也许您能通过重新配置路由器和交换机而不中断生命支持系统帮助病人的能力，从而合

乎逻辑地隔离网络上的系统。

2.遏制损害。遏制攻击造成的损害有助于遏制其他损害。快速保护重要的数据、软件和硬件。最大程度地

减少计算机应用资源的中断是一个重要的考虑因素，但是在攻山期间保持系统运行可能会导致长期运行时更

为广泛传播的问题。例如，如果您的环境感染了嫡虫病毒，您可以通过断开服务器与网络的连接来遢制损

害。但是，有时断开服务器可能导致更大损害而无益。请使用您地好的判断力及对自己网络与系统的了解

做出此决定。如果您确定没有副作用，或措施的正面效果超过了负面效果，在安全事件期间应通过从网络

断开受影响的系统尽快开始实施遏制措施。如果不能通过隔离服务踹来遏制损害，确保您积极监视攻击者

的行动以便能够尽可能快电消除损害。在任何事件中，确保在关闭任何服务器之前保存所有•日志文件，以

保留这些文件所含的信息，作为以后您（或您的律师）需要的证据。

3.评估损害。立即制作受到攻击的任何服务器中硬盘的副本，并将这些副本另放他处以便以后鉴定时使用。然

后评估损害。您应在遏制情形并第制硬盘后尽快确定攻击造成的损害程度。这非常重要，这样您便可以尽

快恢复组织的运作，同时俣留硬盘的副本以便进行调查。如果不能及时评估损害，应当实施应变计划，以

便可以维持正常的业务运营和工作效率。在此时，组织可能想时事件实施法律行动；但是，您应当在事件

发生前与有权管辖组织业务的法律实施机构建立并维护工作关系，这样便可在发生严重问题时知道向设联系

及如何与他们协同工作。您也应当立即通知您的法律部门，这样他们便可确定是否可以因损害而向肇事者

提起民事诉讼。

4.确定损害原因：为了确定攻击的起源，必须弄清此次攻击瞄准的是哪些资源，以及它是通过什么安全漏洞

来获得访问权或中断服务件J。在直接受影响的系统以及向系统々输数据流量的网络设备上检查系统配置、

修补程序级别、系统日志和审核记录。这些检查通常有助于发现攻击源于系统中的哪一位置以及还有其他

哪些资源受到了影响。您应在适当计算机系统上执行此操作，而不是在第3步中建立的备份驱动器上。必

须使那些驱动器保持为未经使用状态以便进行鉴定，这样执法部门或您律师可用这些驱动器来跟踪攻击者并

将其绳之以法。如果您需要建立一个用于测试的备份以确定损害原因，请从原来的系统建立第二个备份，

并且使第3步中建立的驱动器保持为未经使用状态。

5.修复损坏部分.在多数情况下，非常重要的是要尽快修且损坏部分，以便恢豆正常的业务运营，并修且攻

击期同丢失的数据。组织的业务连续性计划和步骤应包括此恢复策略。还应有事件响应小组来处理修夏和

恢复过程，或向负责小组提供恢第过程指导。在恢复期间，需要执行应急步骤以遏制损害的扩展并将损害

隔离起来。将修复后的系统投入服务后，请通过确保L1解决在事件发生期间被利用的任何漏洞，使系统不

会立即被重新感染。

第20页共123页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第21页共123页

6.审查响应和更新策略在文档制作和恢复阶段完成之后，应全面审在整个流程。与小组成员一起讨论哪些

步骤成功了，以及出现了哪些疏漏。基本在任何情况卜，您都会发现整个过程总是存在需要修改的地方。

只有不断完善，才能更好地应对将来可能发生的事件。您将不可避免地发现您的事件响应计划中存在弱点。

这是这种事后方法的关健一您正在寻求改善的机会。任何缺陷将推动另一轮事件-响应规划流程，这样您

便可更加顺畅地处理将来的事件。

此方法如下图所示:

3・1.2.前瞻性方法

与反应性方法相比，前瞻性安全风险管理有很多优点。与等待坏事情发生

然后再做出响应不同，前瞻性方法首先最大程度地降低坏事情发生的可能性。您

制定计划，通过实施控制来保护组织的重要资产，这些控制减少被恶意软件、攻

第21页共123页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第22页共123页

击者或偶然误用等利用漏洞的风险。可用类推来帮助说明此观点。流行性感冒

是一种致命的呼吸道疾病，美国每年都会有数以百万计的感染者。这些感染者

中，至少有100,000人必须入院治疗，并且约有36.000人死亡。您可能会选

择通过等待以确定您是否受到感染，如果确实受到感染，则采用服药治疗这种方

式来治疗疾病。此外，您也可以选择在流行性感冒病发季节开始之前接种疫苗。

当然，组织不应完全放弃事件响应。一个有效的前瞻性方法可帮助组织显

著减少将来发生安全事件的数量，但是似乎此类问题并不会完全消失。因此，

组织应继续改善他们的事件响应流程，同时制定长期的前瞻性方法。

本章的后续部分以及本指南的剩余章节将详细介绍前瞻性风险管理。每种

安全风险管理方法共用某些常见的高级过程：

1.确定企业宽产。

2.确定对某项资产的攻击会对组织造成什么损害。

3.确定攻击可利用的安全漏洞。

4.确定如何通过实施适当的控制措施最大程度地减少攻击的风险。

今返回页首

3.2.确定风险优先级的方法

术语双险管理和风险评商在本指南中频繁使用，但是尽管两者之间有关系，

却并不能互换。Microsoft安全风险管理流程将风险管理定义为将整个企业内

的风险降低到可接受水平的整体流程。将评估风险定义为确定企业面临的风险

并确定其优先级的流程。

确定风险优先级或评估风险有多种方法，但是大多数都基于两种方法或这两

种方法的组合：定量风险管理或定性风险管理。请参阅第1章“安全风险管理

指南介绍”末尾“更多信息”中的资源列表，以获得指向某些其他风险评估方法的链

接。本章接下来的几节是定量风险评估和定性风险评估的摘要与比较，接下来

是Microsoft风险管浬流程的简要说明，这样您便可以了解流程是如何将这两

种方法组合起来使用的。

第22页共123页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第23页共123页

321.定量风险评估

在定量风险评估中，目标是试图为在风险评估与成本效益分析期间收集的各

个组成部分计算客观数字值。例如，您用替换成本、生产率损失成本、品牌名

誉成本以及其他直接和间接商业价值来估计各个企业资产的真实价值。计算资